Como o Ransomware assume o controle dos dados no seu PC com Windows?
O ransomware é um tipo de malware que nega acesso a dados para usuários de computadores infectados. Os atacantes então se movem para exigir um resgate de suas vítimas. As promessas de restaurar o acesso aos dados após a conclusão do pagamento também são a norma. Em muitos casos, esse acesso nunca é fornecido, portanto, os usuários não devem aceitar essas promessas pelo valor de face.
Os usuários recebem instruções para pagar a taxa necessária para receber uma chave de descriptografia. O custo pode variar de centenas a milhares de dólares, pagos aos cibercriminosos na forma de criptomoeda. A moeda mais utilizada é o Bitcoin.
Índice
Como o Ransomware opera?
Existem vários vetores de infecção que o ransomware pode executar quando encontra acesso a um computador. O método de infecção mais comumente observado é o spam de phishing. Geralmente, são anexos a emails que fingem ser um arquivo confiável. Depois que os arquivos são baixados e depois abertos, eles podem ter reinado gratuito na máquina da vítima. Em alguns casos, eles também têm ferramentas de engenharia social embutidas no ransomware, que enganam os usuários para que tenham acesso administrativo. Em outros casos, os tipos mais agressivos de ransomware tendem a explorar brechas de segurança. Aqueles permitem que eles infectem computadores sem a necessidade de engenharia social.
Existem várias ações que o malware pode executar quando assume o controle de um computador vitimizado. Uma das táticas mais comuns atualmente é a criptografia dos arquivos de um usuário. A coisa a lembrar é que esses arquivos são impossíveis de decifrar sem a chave de decodificação correta conhecida pelos invasores. O ransomware apresenta ao usuário uma mensagem, uma nota de resgate que avisa que seus arquivos estão inacessíveis. A nota afirma que eles só podem passar pela decodificação se a vítima pagar com pagamentos de criptomoedas não rastreáveis.
Em alguns casos, o invasor pode até alegar representar agências de aplicação da lei. Desligar o computador por causa de software pirata, pornografia infantil e alegar que o resgate é uma multa são todas táticas válidas.
Existem variações de ransomware que ameaçam publicar dados pessoais confidenciais que os usuários possam ter. Este é um movimento que é conhecido como doxing.
Quem se torna o alvo mais comum do Ransomware
Existem diferentes métodos usados pelos invasores para suas campanhas de ransomware. Às vezes, os ataques visam alvos de oportunidades com uma segurança cibernética mais fraca. Universidades ou pequenas empresas geralmente fazem parte dessas campanhas.
Em outros casos, organizações maiores com melhor segurança podem ser um alvo mais tentador. Eles teriam a capacidade de pagar seu resgate mais rápido, o que os torna uma escolha preferida. As instalações médicas também estão sendo alvo de ransomware, já que seus dados podem ser vendidos na web escura. Em muitas situações, as organizações com dados confidenciais podem estar dispostas a pagar, em vez de arriscarem seus dados, ficando em aberto.
Algum ransomware pode se espalhar sem um alvo específico e de forma totalmente automática em toda a Internet.
Como o Ransomware infecta um sistema?
Infecções por email
Para os cibercriminosos, o email é um vetor aberto de ataques. E-mails enviados disfarçados como mensagens aparentemente legítimas tornam possível aos autores de ransomware enganar os usuários. Abrir anexos infectados ou clicar em um link que leva a sites infectados - ambos levam ao mesmo resultado.
Essa abordagem é conhecida como phishing, atraindo usuários para morder a isca e infectar o sistema. Embora os e-mails de spam possam ser claramente óbvios, o phishing geralmente adota uma abordagem mais discreta, especialmente com alvos específicos em mente. Atualmente, muitos dos e-mails de phishing são mais sofisticados do que o esperado.
O phishing tende a ser mais direcionado, para que os invasores pesquisem suas vítimas escolhidas. O domínio público contém informações suficientes na maioria dos casos para ajudar na engenharia social. Um e-mail de um amigo ou colega de trabalho muitas vezes causará menos suspeita do que um que vem de um estranho. Isso é chamado de spear phishing, quando os invasores escolhem uma pessoa específica ou um grupo. Anexos infectados podem ser disfarçados como qualquer coisa, desde contratos, formulários de regulamentação, faturas e mais, quanto mais comum, melhor.
Websites comprometidos
A diferença mais significativa entre o exemplo anterior está nos kits de exploração. Esses são usados para comprometer sites sem anexos de e-mail envolvidos. Uma visita ao site comprometido e os cibercriminosos podem infectar sem cliques necessários. Os kits de exploração permitem que os invasores carreguem códigos maliciosos diretamente em qualquer página da Web vulnerável. Esse código é feito especialmente para explorar vulnerabilidades em softwares ou navegadores que os visitantes possam estar usando.
Se uma vulnerabilidade estiver presente no sistema, o kit de exploração poderá baixar e instalar automaticamente o windows ransomware. Infelizmente, evitar visitas a sites com uma reputação questionável pode não resolver o problema. Às vezes, mesmo as visitas a sites comuns e legítimos podem representar um risco quando a segurança é comprometida, como foi o caso dos ataques do kit de exploração Angler em 2016, usados para espalhar malware em uma campanha de 2016.